软件评测师简答题部分答案V10解读文档格式.docx
《软件评测师简答题部分答案V10解读文档格式.docx》由会员分享,可在线阅读,更多相关《软件评测师简答题部分答案V10解读文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
(实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全)
安全性测试方法有哪些?
(功能验证、漏洞扫描、模拟攻击实验、侦听技术)
功能测试(白盒测试、黑盒测试、灰盒测试)
漏洞的类型(拒绝服务漏洞、本地用户扩权漏洞、远程用户扩权漏洞)
模拟攻击技术4种类型:
A、服务拒绝型攻击(死亡之ping、泪滴teardrop、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击)
B、漏洞木马型攻击(口令猜想、特洛伊木马、缓冲区溢出)
C、信息收集技术(扫描技术、体系结构探测、利用信息服务)
D、伪装欺骗型攻击(DNS高速缓存污染、伪造电子邮件、ARP欺骗、IP欺骗)
主动攻击的方式(窃听、电磁/射频截获、业务流分析、截获并修改、重放、伪装、非法使用、服务拒绝、特洛伊木马、陷门)
安全机制有哪些?
1、数字签名机制2、访问控制机制3、数据完整性机制4、认证机制5、通信业务填充机制6、路由器控制机制7、公正机制
请简述系统的安全防护体系中安全系统的主要构成一般包括什么?
答:
安全系统的主要构成一般包括证书业务服务系统、证书查询验证服务系统、密钥管理系统、密码服务系统、可信授权服务系统、可信时间戳服务系统、网络信任域系统、故障恢复与容灾备份。
软件产品安全测试的内容?
(用户管理与访问控制、通信机密、安全日志)
用户管理与访问控制包括哪些?
(用户权限控制、操作系统安全性测试、数据库权限的测试)
用户名称的测试关键?
(测试用户名称的唯一性,A、同时存在的用户名称在不考虑大小写的状态下,不能同名,B、对于已经删除或者停用的用户名称,应保留用户记录,并且新的用户名称不能与之同名)
用户口令的测试点?
应注意用户口令的强度、存储位置、加密强度
最大口令时效、最小口令时效、口令历史、口令复杂度、加密选项、口令锁定、口令复位
操作系统安全性的测试点是什么?
A、是否关闭或卸载了不必要的服务或程序
B、是否存在不必要的帐户
C、权限设置是否合理
D、安装相应的安全补丁程序
E、操作系统日志管理
数据库权限的测试点是什么?
A、应用软件部署后,数据库管理用户的设置应当注意对帐户的保护,超级用户口令不得为空或者为默认口令,对数据库帐号和组的权限应做相应的设置,如锁定一些默认的数据库用户,撤销不必要的权限
B、数据库中关于应用软件用户权限和口令存储的相关表格,应尽量采用加密算法进行加密
C、软件企业在进行软件产品研发时,开发人员通常为了方便在客户端与数据库通信时,均使用超级用户及默认口令访问数据库,这种方式带来严重的安全隐患,测试人员可以通过网络侦听技术活使用白盒测试进行测试,并且建议开发人员根据不同程序访问数据库的功能使用不同的数据库用户进行连接,且必须设置复杂的密码。
通信加密通常使用什么手段完成?
(验证和侦听技术)
安全日志应当记录哪些内容?
记录用户访问系统的所有操作内容,如登录名称、登录ip、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间等
安全测试中应当检查安全日志的哪些方面?
测试人员应根据业主要求和设计需求,对日志的完整性、正确性进行测试,测试安全日志是否包含该些内容,是否正确,并且对于大型的应用软件来说,系统是否提供了安全日志的智能分析能力,是否可以按照各种特征项进行日志统计,分析潜在的安全隐患,并且及时发现非法行为
安全保护国家标准有哪几个级别?
5个级别
1、用户自主保护级:
普通内联网用户;
2、系统审计保护级:
内联和国际商务活动,需要保密的非重要单位;
3、安全标记保护级:
地方级国家机关,金融,邮电,能源,交通,大型工商与it,重点工程;
4、结构化保护级:
中央,广播电视,重要物资储备,社会应服务,尖端科技,国家科研国防高妹;
5、安全域级保护级(访问验证):
国防关键部门和依法需要对计算机系统实施特殊隔离的单位。
易用性特性(易理解性、易学习性、易操作性、易吸引性、易用性依从性)
易用性测试的内容?
(安装测试、界面测试、辅助系统测试)
安装测试的内容?
1、用户手册的评估2、安装选项和设置的测试3、安装自动化程度4、安装中断测试5、安装顺序测试6、安装的正确性7、多环境安装测试8、安装的修复和卸载测试
功能易用性测试的范围包括哪些?
1、业务复符合性2、功能定制性3、业务模块的集成度4、数据共享能力5、约束性6、交互性7、系统信息与错误提示
界面整体测试的测试点?
(一致性、规范性、合理性、界面定制性测试)
界面元素的测试点?
(桌面、菜单、图标、鼠标、文字)
帮助测试的要点?
(内容的正确性、与程序的接口、索引的查询、超链接的正确性、超链接的意义、风格简洁)
可靠性(成熟性、容错性、易恢复性)
可靠性是指产品在规定的条件下和规定的时间内完成规定功能的能力
可靠性测试的广义定义与狭义定义是什么?
广义可靠性测试:
是为了最终评价软件系统的可靠性而运用建模、统计、实验、分析、评价等一系列手段对软件系统实施的一种测试
狭义可靠性测试:
是为了获取可靠性数据,按预先确定的测试用例,在软件的预期使用环境中,对软件实施的一种测试
从技术的角度看影响软件可靠性的主要因素有哪些?
运行剖面、软件规模、软件内部结构、软件开发方法和环境、软件的可靠性投入
软件可靠性模型通常有哪几部分组成?
模型假设、性能度量、参数估计方法、数据要求
一个好的软件可靠性模型应具有哪些重要特性?
基于可靠的假设、简单、计算一些有用的量、给出未来失效行为的好的映射、可广泛应用
软件可靠性模型有哪几种分类?
种子法、失效率类、曲线拟合法、可靠性增长模型、程序结构分析模型、输入域分类模型、执行路径分析方法、非齐次松过程模型、马尔可夫过程模型、贝叶斯类模型
可靠性定量指标有哪些?
当前的可靠度、平均无失效时间、故障密度、期望达到规定可靠性目标的日期、达到规定的可靠性目标的成本要求
软件可靠性设计技术主要有哪些?
容错设计技术、检错技术、降低复杂度设计
文档测试包括哪些测试?
(用户文档测试、开发文档测试、管理文档测试)
用户文档有哪些?
作用是什么?
需要注意哪些问题?
测试要点是什么?
该怎么测试?
1、内容:
用户手册、操作手册、维护修改建议(包装上的文字或图案,宣传材料、广告或插页,授权/注册登记表,标签或不干胶,安装和设置指导,联机帮助,指南、向导,样例、示例或模板,错误提示信息)2、作用:
改善易安装性、提高软件的易用性、改善软件的可靠性、促进销量、降低技术支持的费用
3、注意问题:
文档得不到重视、编写文档的人不专业、印刷周期长、印刷质量差、文档测试不仅仅只是文字测试,还要辅助找出程序错误
4、测试要点:
读者群、术语、正确性、完整性、一致性、易用性、图表与界面截图、样例示例、语言、印刷与包装
5、怎么测试:
1、准确地按照手册的描述使用程序2、尝试每一条建议3、检查每条陈述4、查找容易误导用户的内容
开发文档有哪些?
可行性研究报告、用户需求说明书、软件概要设计说明书、软件详细设计说明书、数据库设计说明书
管理文档有哪些?
项目开发计划、测试计划、测试报告、开发进度月报、开发总结报告
在线帮助的测试点是什么?
内容的正确性、与程序的接口、索引的查询、超链接的正确性、超链接的意义、风格简洁
兼容性测试有哪些?
(硬件兼容性测试、软件兼容性测试、数据兼容性测试、平台化软件兼容性测试、新旧系统数据迁移测试)
硬件兼容性测试需要确认那几点?
最低配置是否能够满足系统运行的要求
在推荐配置下系统的响应是否迅速
考察软件对运行硬件环境是否有特殊要求说明
为了满足不同的使用需求
硬件都需要跟哪些进行兼容?
(与整机兼容、与卡板及配件兼容、与打印机兼容、其他)
软件兼容性都需要跟哪些兼容?
(操作系统兼容、数据库兼容、中间件兼容、浏览器兼容、其他软件兼容)
数据兼容有哪些?
(不同数据格式兼容、XML符合性)
主机兼容性测试
1.确认软件能否运行在不同系列的计算机
2.同一系列主机上,确认软件所要求的最低配置和推荐配置的合理性和正确性;
配置指标主要对CUP,内存和硬盘的要求
1)CUP:
CPU的内存和主频。
CUP平均值不超过75%
2)内存:
不是越大越好,最低配置要求要小于目前主机的标配内存
3)硬盘:
测试不同容量和转速下软件运行的效率,服务器根据实际情况选择大容量、高转速的硬盘,必要时增配磁盘阵列;
客服端的最低配置不应高于目前机型标配的硬盘容量以及转速。
板卡、配件以及外设兼容性
1.检查板卡。
配件以及外设的生产厂商是否提供了驱动程序
2.检查操作系统是否提供了这些板卡。
3.对于随应用程序板卡。
配件以及外设应该特别注意
软件兼容性测试
1.跨平台兼容性测试
2.操作系统不同版本的兼容性测试
3.操作系统不同语言版本的兼容性测试
4.不同厂家、相同类型的操作系统测试
数据库兼容性测试
1.SQL符合性测试
2.ODBC符合性测试
3.JDBC符合性测试
数据兼容性测试
1.编码体系测试
1)汉字编码体系测试
2)少数民族文字编码体制测试
2.数据标准符合性测试
3.新旧系统数据兼容和数据迁移测试
平台软件兼容性测试
1.平台软件的硬件兼容性测试安静的操作系统
2.平台软件的操作系统兼容性测试
3.平台软件的数据库兼容性测试
4.平台软件的数据兼容性测试
5.平台软件的文种兼容性测试
系统的负载压力只要有哪些?
(并发性能测试、疲劳强度测试、大数据量测试)
负载压力测试指标分几类?
(客户端交易处理指标、服务器资源监控指标、数据库资源监控指标、Web服务器监控资源指标、中间件监控指标)
什么是负载测试?
(通过逐步增加系统负载,测试系统性能的变化,并最终确定在满足性能指标的情况下,系统所能承受的最大负载量的测试)
什么是压力测试?
(通过逐步增加系统负载,测试系统性能的变化,并最终确定在什么负载情况下,系统性能处于失效状态,并以此来获得系统能提供的最大服务级别的测试,压力测试是一种特定的负载测试)
什么是并发性测试?
(逐步增加并发用户数负载,直到系统的瓶颈或不可接受的性能点,通过综合分析交易执行指标、资源指标等来确定系统并发性能的过程)
什么是疲劳强度测试?
(通常是采用系统稳定运行情况下能够支持的最大并发用户数,或者日常运行用户数,持续执行一段时间业务,保证达到系统疲劳强度需求的业务量,通过综合分析交易执行指标和资源监控指标,来确定系统处理最大工作量强度的性能测试过程)
什么是大数据量测试?
(独立的数据量测试和综合的数据量测试)
性能测试的步骤是什么?
1、制定目标和分析系统
2、选择测试度量的方法
3、学校相关的技术和工具
4、定制评估标准
5、设计测试用例
6、运行测试动力
7、分析测试结果
什么是交易吞吐量?
(系统服务器每秒所能够处理通过的交易数)
什么是交易响应时间?
(系统完成事务执行准备和系统完成待执行事务后所采集的系统时间戳之间的时间间隔,是衡量特定类型应用事务性能的重要指标,标识用户执行一项操作大致需要多长时间)
什么是并发用户数?
(同一物理时刻所有在线用户同时执行同一个操作)
什么是在线用户数?
(在一段物理时间内在线的用户,并不会同时执行某一操作)
负载压力测试工具主控台的作用是什么?
(管理负载生成器,并收集测试数据)
负载均衡器的作用是什么?
(1、将客户端的负载均匀分摊不同的应用服务器上,达到最佳的服务器集群性能2、当某台应用服务器出现错误时,错误信息将返回到均衡器上,然后会将客户的访问指向另外一台应用服务器上)
负载压力测试工具中负载生成器的作用?
(模拟客户端执行负载压力测试)
随着并发数的递增,交易执行成功率下降的原因?
(1、服务器端架构设计不合理,2、服务器端参数设置不合理,3、软件系统实现存在问题)
系统性能不足有哪些调优措施?
检查软件设计、软件开发是否正确
检查软件参数设置是否合理
评估服务器端架构设计是否合理
评估应用服务器和数据库服务器的匹配是否满足系统性能需求
数据库性能不足的主要原因?
解决方案?
服务器资源负载过重
数据库设计不合理
数据库单个事务响应时间过长
系统并发负载造成最终用户响应时间过长
解决方案:
采用数据库集群策略,并注意配置正确
Web功能测试包括哪些测试?
(链接测试、表单测试、Cookies测试、设计语言测试、数据库测试)
Web性能测试包括哪些测试(连接速度测试、负载测试、压力测试)
Web可用性测试包括哪些?
(导航测试、图形测试、内容测试、整理界面测试)
Web兼容性测试包括哪些?
(平台兼容性、浏览器兼容)
Web安全测试主要有哪些?
1、测试用户名、密码的有效性,是否大小写敏感、可以试多少次限制、是否可以不登录直接浏览某个网页
2、Web应用系统是否有登录超时限制
3、Web应用系统相关信息是否写进日志文件,是否可追踪
4、当使用了安全套接字时,还要测试加密是否正确,检查信息的正确性
5、没经过测试授权的不能再服务器端放置和编辑脚本
Web测试策略文档都包含哪几点?
(测试目的、资源需求、测试环境、测试过程)
Web应用开发测试中静态测试技术有哪几种?
(语法检查、链接检查、控制流分析、数据流分析、信息流分析、语义分析)
网络测试的对象有哪些?
(路由器、集线器、交换机、网桥;
网段;
全局网;
网络操作系统;
文件服务器;
工作站)
OSI7层次模型?
每个层次所涉及的协议?
物理层
RS232、V.35、RJ-45、FDDI
数据链路层
IEEE802.3/2HDLC、PPP、ATM
网络层
IPIPX
传输层
TCPUDPSPX
会话层
RPCSQLNFS
表示层
JPEGASCIIGIFDESMPEG
应用层
HTTPTELNETFTPSMTPNFS
CMM软件能力成熟度模型
1
初始级
2
可重复级
3
定义级
4
管理级
5
优化级
类图包含哪些?
1、泛化是一种继承关系,表示一般与特殊的关系,
带三角箭头的实线,箭头指向父类
2、实现是一种类与接口的关系,表示类是接口所有特征和行为的实现
带三角箭头的虚线,箭头指向接口
3、关联是一种拥有的关系
带普通箭头的实心线,指向被拥有者
4、聚合是整体与部分的关系
带空心菱形的实心线,菱形指向整体
用例图包含哪些?
参与者
用例
关联
泛化
包含
扩展
依赖
配置管理包含哪些?
(配置标识项、配置控制、配置状态报告、配置审计)
软件错误、软件缺陷、软件故障、软件失效的区别?
软件失效机理:
软件错误-->
软件缺陷-->
软件故障-->
软件失效
软件错误:
指在软件生命周期内不希望或不可接受的人为错误
软件缺陷:
是存在于软件(文档、程序、数据)之中那些不希望或不可接受的偏差
软件故障:
是指软件运行过程中出现的一种不希望或不可接受的内部状态
软件失效:
是指软件运行时产生的一种不希望或不可接受的外部行为结果
软件测试与质量保证、软件质量的区别?
软件测试:
执行软件,对过程中的产物(开发文档、源代码、数据)等进行走查,运行软件,找出问题,报告质量,软件测试的目的:
发现程序中的问题,对软件质量进行评估。
质量保证:
质量保证的重要工作是通过预防、检查与改进来保证软件质量,主要关注软件开发活动中的过程、步骤、产物。
软件质量:
软件满足规定或潜在用户需求特性的总和,包括内部质量、外部质量、使用质量
软件测试的原则?
所有的软件测试都应追溯到用户需求
“尽早地和不断低进行软件测试”当座右铭
完全测试是不可能的,测试需要终止
测试无法显示软件潜在的缺陷
充分注意测试中的集群现象
程序员应当避免测试自己的程序
尽量避免测试的随意性
软件测试质量包括哪些管理要素?
测试过程(技术过程、管理过程、支持过程)
测试人员及组织
测试工作文档
软件测试质量控制的主要方法?
评审测试文档、审核测试过程、制定测试计划
测试信息流三类输入:
软件配置、测试配置、测试工具
软件测试按阶段分类?
单元测试:
针对每个单元的测试,以确保每个模块能正常工作为目标
集成测试:
对已测试过的模块进行组装,进行集成测试。
目的在于检验与软件设计相关的程序结构问题。
确认测试:
是通过检验和提供客观证据,证实软件是否满足特定预期用途的需求,是否满足需求规格说明书中规定的需求
系统测试:
是在真实或模拟系统运行的环境下,检查完整的程序系统能否和系统(硬件、外设、网络、系统软件、支持平台)正确配置、连接、并满足用户需求
验收测试:
按照项目任务书和合同、供需双方约定的验收依据文档进行的对整个系统的测试与评审,决定是否接收货拒收系统
缺陷探测率?
=测试人员发现的错误/(测试人员发现的错误+用户发现的错误)
用例覆盖率?
=测试用例对应的需求数目/需求总数
缺陷修复率?
=累计关闭缺陷数/累计打开的缺陷数
环路复杂度?
=变-点+2或=区域+1或=判断节点
8-2规则?
UML的5类图
1.用例图;
2静态图;
3行为图;
4交互图;
5实现图
软件风险分类可以分为:
项目风险、技术风险、商业风险
结构化分析方法?
(数据流图DFD、数据字典、结构化语言、实体-关系E-R图、判定表)
应用于详细设计的工具有哪几种?
(程序流程图、盒图N-S图、PAD图、PDL程序设计语言)
面向对象的方法?
(对象与封装、类、消息通信)
面向对象系统测试的3个目的?
1.验证产品交付的组件和系统性能是否达到标准
2.定位产品的容量以及边界限制
3.定位系统性能瓶颈
面向对象系统测试范围?
1.用户支持测试;
2.用户界面测试
3.可维护性测试
4.安全性测试
5.系统性能测试
6.系统可靠性、稳定性测试
7.系统兼容性测试
8.系统组网测试
9.系统安装升级测试
10.单个子系统的性能
11.子系统间的接口瓶颈
12.子系统的相互影响
13.协议一致性测试
14.协议互通测试
软件质量6个质量特性及21个子特性
(这些简单的不写答案了)
测试用例包含哪些元素?
缺陷报告包含哪些元素?
缺陷严重级别有哪些?
缺陷优先级别有哪些?
缺陷状态流程是哪些?
错误流程管理原则?
读书的好处
1、行万里路,读万卷书。
2、书山有路勤为径,学海无涯苦作舟。
3、读书破万卷,下笔如有神。
4、我所学到的任何有价值的知识都是由自学中得来的。
——达尔文
5、少壮不努力,老大徒悲伤。
6、黑发不知勤学早,白首方悔读书迟。
——颜真卿
7、宝剑锋从磨砺出,梅花香自苦寒来。
8、读书要三到:
心到、眼到、口到
9、玉不琢、不成器,人不学、不知义。
10、一日无书,百事荒废。
——陈寿
11、书是人类进步的阶梯。
12、一日不读口生,一日不写手生。
13、我扑在书上,就像饥饿的人扑在面包上。
——高尔基
14、书到用时方恨少、事非经过不知难。
——陆游
15、读一本好书,就如同和一个高尚的人在交谈——歌德
16、读一切好书,就是和许多高尚的人谈话。
——笛卡儿
17、学习永远不晚。
18、少而好学,如日出之阳;
壮而好学,如日中之光;
志而好学,如炳烛之光。
——刘向
19、学而不思则惘,思而不学则殆。
——孔子
20、读书给人以快乐、给人以光彩、给人以才干。
——培根
升级会员 